Hackean dos webs de Kaspersky

Hackean dos webs de Kaspersky
10 de diciembre, 2009

La conocida compañía de antivirus Kaspersky ha sido objeto del hackeo mediante un exploit mediante inyección de código SQL. Dicha vulnerabilidad acababa dejando al descubierto las bases de datos, que incluían datos personales y claves de usuario de sus programas. La compañía ha sido informada del problema por parte del hacker rumano Unu, quien ya observó un problema similar en la versión estadounidense de la web el pasado mes de febrero. Ahora la víctima ha sido la versión de Malasia.

 

El ataque ha sido documentado por el hacker rumano Unu quien se ha declarado entusiasta de seguridad especializado en encontrar vulnerabilidades de inyección SQL en sitios web de compañías importantes, pertenecientes al sector informático, antivirus, bancos o instituciones públicas. En febrero de 2009, hackeó la web de Estados Unidos de Kaspersky y entonces fue cuando la compañía contrató al experto David Litchfield para realizar una auditoría y solucionar los agujeros de seguridad.

Comprometida la seguridad de varias web de Kaspersky.

 

Esa investigación debió haber solucionado los problemas pero, según Unu, realizando un ataque casi idéntico, las webs de Singapur y Malasia mostraron el mismo comportamiento, dando acceso a la base de datos de la comañía. Entre los datos que quedan expuestos está la información personal de los usuarios: nombre, nombre de usuario, email, dirección física, código postal, ciudad, estado, país y la contraseña -cifrada-. Más de 13.000 claves de producto han quedado expuestas.

 

Ejemplo de los datos accesibles mediante inyección SQL.

  • Share This